Hybrid Runtime Detection of Malicious Containers Using eBPF

1

作者 Jeongeun Ryu Riyeong Kim +3 位作者 Soomin Lee Sumin Kim Hyunwoo Choi Seongmin Kim 《Computers, Materials & Continua》 2026年第3期410-430,共21页

As containerized environments become increasingly prevalent in cloud-native infrastructures,the need for effective monitoring and detection of malicious behaviors has become critical.Malicious containers pose signific... As containerized environments become increasingly prevalent in cloud-native infrastructures,the need for effective monitoring and detection of malicious behaviors has become critical.Malicious containers pose significant risks by exploiting shared host resources,enabling privilege escalation,or launching large-scale attacks such as cryptomining and botnet activities.Therefore,developing accurate and efficient detection mechanisms is essential for ensuring the security and stability of containerized systems.To this end,we propose a hybrid detection framework that leverages the extended Berkeley Packet Filter(eBPF)to monitor container activities directly within the Linux kernel.The framework simultaneously collects flow-based network metadata and host-based system-call traces,transforms them into machine-learning features,and applies multi-class classification models to distinguish malicious containers from benign ones.Using six malicious and four benign container scenarios,our evaluation shows that runtime detection is feasible with high accuracy:flow-based detection achieved 87.49%,while host-based detection using system-call sequences reached 98.39%.The performance difference is largely due to similar communication patterns exhibited by certain malware families which limit the discriminative power of flow-level features.Host-level monitoring,by contrast,exposes fine-grained behavioral characteristics,such as file-system access patterns,persistence mechanisms,and resource-management calls that do not appear in network metadata.Our results further demonstrate that both monitoring modality and preprocessing strategy directly influence model performance.More importantly,combining flow-based and host-based telemetry in a complementary hybrid approach resolves classification ambiguities that arise when relying on a single data source.These findings underscore the potential of eBPF-based hybrid analysis for achieving accurate,low-overhead,and behavior-aware runtime security in containerized environments,and they establish a practical foundation for developing adaptive and scalable detection mechanisms in modern cloud systems. 展开更多

关键词 Container security container anomaly detection ebpf system calls network flow machine learning

在线阅读 下载PDF 职称材料

基于eBPF的容器运行时可信监控方案 被引量：2

2

作者 黄轲 李璇 +2 位作者 周庆飞 尚科彤 秦宇 《信息网络安全》 北大核心 2025年第2期306-326,共21页

随着云服务技术的发展,越来越多的应用以容器形式迁移到云端,容器的安全监控成为研究热点。虽然容器具有轻量级、部署快速、移植便捷的优点,但其较弱的隔离性却带来了诸多安全问题,如容器逃逸攻击、容器镜像投毒、内核漏洞利用等。针对... 随着云服务技术的发展,越来越多的应用以容器形式迁移到云端,容器的安全监控成为研究热点。虽然容器具有轻量级、部署快速、移植便捷的优点,但其较弱的隔离性却带来了诸多安全问题,如容器逃逸攻击、容器镜像投毒、内核漏洞利用等。针对这些威胁,文章采用eBPF系统监控技术,结合BMC信任根、镜像静态分析、通用策略引擎及运行时证明,提出了一种容器运行时安全监控方案。该方案利用eBPF实现的监控程序,能够识别并监控容器的进程、权能、文件、网络等行为事件。同时,该方案设计了细粒度的容器安全策略,并依据容器镜像静态分析所得的系统调用白名单,检测容器异常行为,多维度保障容器安全。此外,该方案还设计并实现了基于BMC信任根的运行时证明协议,利用BMC中集成的可信计算模块作为信任根,通过可信计算模块的证明确保eBPF监控事件报警日志的完整性和真实性。实验表明,监控服务器能够长期监控各类容器的运行状态,并针对安全异常事件及时采取应对措施。 展开更多

关键词 容器安全 ebpf 运行时监控 BMC信任根 远程证明

在线阅读 下载PDF 职称材料

BpfioToolkit:基于eBPF技术的I/O行为分析工具 被引量：1

3

作者 霍国栋 孙斌 +2 位作者 于灏 解西国 曹武迪 《计算机系统应用》 2025年第7期215-227,共13页

大规模并行计算应用程序在执行过程中经常面临I/O性能瓶颈,严重影响整体计算效率.然而,现有的I/O跟踪工具在捕获细粒度I/O行为和多层次分析方面存在开销高、侵入性强等问题.为解决这一挑战,本文提出了BpfioToolkit,一种基于eBPF技术的... 大规模并行计算应用程序在执行过程中经常面临I/O性能瓶颈,严重影响整体计算效率.然而,现有的I/O跟踪工具在捕获细粒度I/O行为和多层次分析方面存在开销高、侵入性强等问题.为解决这一挑战,本文提出了BpfioToolkit,一种基于eBPF技术的非侵入式I/O跟踪与分析工具套件.旨在通过跟踪并行应用程序发出的I/O请求,记录详细的I/O行为日志,以支持对复杂并行I/O模式的精准分析.BpfioToolkit可以高效地跟踪I/O堆栈中MPI-IO层、系统调用层及虚拟文件系统层的I/O操作,准确地记录I/O请求频率、读写大小、文件偏移等关键指标.通过关联各层次的I/O行为数据,BpfioToolkit提供精确且全面的I/O行为视图.在多个典型并行应用程序和基准测试程序上的实验评估表明,BpfioToolkit在不同I/O强度场景下均保持极低的系统开销(仅0.54%–1.68%),同时生成丰富的I/O行为数据.这些数据帮助识别了诸如低效的I/O访问模式、I/O负载不均衡等I/O性能瓶颈.验证了BpfioToolkit的实用性.BpfioToolkit为大规模并行计算环境中的I/O性能分析与优化提供了有力的技术支持,展现出广泛的应用前景. 展开更多

关键词 并行计算 I/O跟踪 ebpf 非侵入式 I/O分析

在线阅读 下载PDF 职称材料

改进运行环境的eBPF系统自动化运维可观测性技术研究

4

作者 张乾坤 聂林 +1 位作者 邹洪 黄翔 《信息技术》 2025年第12期53-58,共6页

文中基于eBPF(extended Berkeley Packet Filter)系统环境,研究了自动化运维技术并对其加以实践。分析基于eBPF的网络性能和无侵入式网络性能,由此获取基于eBPF的无侵入式容器网络性能限制。基于此,研究优化技术,使其更好地满足较大规... 文中基于eBPF(extended Berkeley Packet Filter)系统环境,研究了自动化运维技术并对其加以实践。分析基于eBPF的网络性能和无侵入式网络性能,由此获取基于eBPF的无侵入式容器网络性能限制。基于此,研究优化技术,使其更好地满足较大规模容器集群使用需求。根据基于eBPF的分布式容器网络诊断问题,实现对网络性能的针对性优化。实验结果表明,研究技术应用下网路运行时延和平均吞吐量显著降低。与传统SystemTap系统相比,文中提出的eBPF系统下无侵入式容器网络性能具有显著的优越性。 展开更多

关键词 ebpf系统 自动化运维 可观测性技术 网络性能

在线阅读 下载PDF 职称材料

Preventing IP Spoofing in Kubernetes Using eBPF

5

作者 Absar Hussain Abdul Aziz +1 位作者 Hassan Jamil Syed Shoaib Raza 《Computers, Materials & Continua》 2025年第8期3105-3124,共20页

Kubernetes has become the dominant container orchestration platform,withwidespread adoption across industries.However,its default pod-to-pod communicationmechanism introduces security vulnerabilities,particularly IP s... Kubernetes has become the dominant container orchestration platform,withwidespread adoption across industries.However,its default pod-to-pod communicationmechanism introduces security vulnerabilities,particularly IP spoofing attacks.Attackers can exploit this weakness to impersonate legitimate pods,enabling unauthorized access,lateral movement,and large-scale Distributed Denial of Service(DDoS)attacks.Existing security mechanisms such as network policies and intrusion detection systems introduce latency and performance overhead,making them less effective in dynamic Kubernetes environments.This research presents PodCA,an eBPF-based security framework designed to detect and prevent IP spoofing in real time while minimizing performance impact.PodCA integrates with Kubernetes’Container Network Interface(CNI)and uses eBPF to monitor and validate packet metadata at the kernel level.It maintains a container network mapping table that tracks pod IP assignments,validates packet legitimacy before forwarding,and ensures network integrity.If an attack is detected,PodCA automatically blocks spoofed packets and,in cases of repeated attempts,terminates compromised pods to prevent further exploitation.Experimental evaluation on an AWS Kubernetes cluster demonstrates that PodCA detects and prevents spoofed packets with 100%accuracy.Additionally,resource consumption analysis reveals minimal overhead,with a CPU increase of only 2–3%per node and memory usage rising by 40–60 MB.These results highlight the effectiveness of eBPF in securing Kubernetes environments with low overhead,making it a scalable and efficient security solution for containerized applications. 展开更多

关键词 CNCF ebpf PODS SPOOFING IP DDOS container orchestration PACKETS EKS CNI CNM VM

在线阅读 下载PDF 职称材料

RACE:面向流量异常检测的eBPF程序自动生成框架

6

作者 陈绮语 《数字技术与应用》 2025年第12期225-227,共3页

随着分布式系统与云原生平台的发展,系统可观测性日益重要。扩展伯克利包过滤器(eBPF)因其内核态可编程性、低开销与高精度,成为构建下一代可观测系统的关键技术。然而,受限于指令集与语义复杂性,eBPF程序开发难以规模化。本文提出RACE... 随着分布式系统与云原生平台的发展,系统可观测性日益重要。扩展伯克利包过滤器(eBPF)因其内核态可编程性、低开销与高精度,成为构建下一代可观测系统的关键技术。然而,受限于指令集与语义复杂性,eBPF程序开发难以规模化。本文提出RACE框架,一种结合检索增强生成与思维链推理的大语言模型驱动eBPF程序自动合成方法,为内核态可观测程序自动化构建提供了新路径。 展开更多

关键词 RACE 程序自动生成 分布式系统 ebpf

在线阅读 下载PDF 职称材料

eBPF驱动的云计算虚拟网络加速策略研究

7

作者 孙迎春 王俊方 李钰琦 《福建电脑》 2025年第12期57-60,共4页

为应对云网络高延迟与低吞吐量问题,提升云服务质量和用户体验,本文基于eBPF技术原理,设计涵盖流量优化、数据加速与安全防护的加速策略。通过Mininet与Docker构建虚拟实验环境,在SYN Flood攻击、实时流媒体、大文件传输及混合流量四种... 为应对云网络高延迟与低吞吐量问题,提升云服务质量和用户体验,本文基于eBPF技术原理,设计涵盖流量优化、数据加速与安全防护的加速策略。通过Mininet与Docker构建虚拟实验环境,在SYN Flood攻击、实时流媒体、大文件传输及混合流量四种场景下进行测试。实验结果表明,该策略显著改善多项性能指标:丢包率最大降低84.6%,大文件传输延迟平均减少54.8%,吞吐量提升91.1%,视频流延迟抖动和卡顿率分别下降72.1%与81.4%,文件传输时间缩短24.5%。 展开更多

关键词 扩展型柏克莱封包过滤器 虚拟网络 网络加速 性能优化

在线阅读 下载PDF 职称材料

基于eBPF的系统监控和故障检测方法

8

作者 王锐 《电信工程技术与标准化》 2024年第12期40-44,71,共6页

针对现有监控方案安全性低、系统资源开销负荷大和人工运维工作量大的问题,本文提出了一种基于eBPF的系统监控和故障检测方法。监控指标数据采集基于eBPF技术,数据采集更安全,数据处理性能更高。结合故障检测分类模型,可快速识别故障问... 针对现有监控方案安全性低、系统资源开销负荷大和人工运维工作量大的问题,本文提出了一种基于eBPF的系统监控和故障检测方法。监控指标数据采集基于eBPF技术,数据采集更安全,数据处理性能更高。结合故障检测分类模型,可快速识别故障问题和定位异常事件。运维人员通过监控视图实时查看系统各项性能指标、服务运行状况和故障告警等内容,有效提升运维效率和降低人工运维成本,达到高效、安全、灵活的系统运维目的。 展开更多

关键词 ebpf技术 系统监控 故障检测方法

在线阅读 下载PDF 职称材料

基于PKS硬件特性的eBPF内存隔离机制 被引量：2

9

作者 李浩 古金宇 +2 位作者 夏虞斌 臧斌宇 陈海波 《软件学报》 EI CSCD 北大核心 2023年第12期5921-5939,共19页

Linux内核中的eBPF(extended Berkeley packet filter)机制可以将用户提供的不受信任的程序安全地加载到内核中.在eBPF机制中,检查器负责检查并保证用户提供的程序不会导致内核崩溃或者恶意地访问内核地址空间.近年来,eBPF机制得到了快... Linux内核中的eBPF(extended Berkeley packet filter)机制可以将用户提供的不受信任的程序安全地加载到内核中.在eBPF机制中,检查器负责检查并保证用户提供的程序不会导致内核崩溃或者恶意地访问内核地址空间.近年来,eBPF机制得到了快速发展,随着加入越来越多的新功能,其检查器也变得愈发复杂.观察到复杂的eBPF安全检查器存在的两个问题:一是“假阴性”问题:检查器复杂的安全检查逻辑中存在诸多漏洞,而攻击者可以利用这些漏洞设计能够通过检查的恶意eBPF程序来攻击内核;二是“假阳性”问题:检查器采用静态检查的方式,由于缺乏运行时信息只能进行保守检查,可能造成原本安全的程序无法通过检查,也只能支持很受限的语义,为eBPF程序的开发带来了困难.通过进一步分析,发现eBPF检查器中的静态模拟执行检查机制代码量大,复杂度高,分析保守,是引起安全漏洞和误报的主要原因.因此,提出使用轻量级动态检查的方式取代eBPF检查器中的静态模拟执行检查机制,eBPF检查器中原本由于模拟执行而存在的漏洞与保守检查不复存在,从而能够消除诸多上述的“假阴性”和“假阳性”问题.具体来说,将eBPF程序运行在内核态沙箱中,由沙箱对程序运行时的内存访问进行动态检查,保证程序无法对内核内存进行非法访问;为高效实现轻量化的内核态沙箱,利用新型硬件特性Intel PKS(protection keys for supervisor)进行零开销的访存指令检查,并提出高效的内核与沙箱中eBPF程序交互方法.评测结果表明,所提方法能够消除内核eBPF检查器中的内存安全漏洞(自2020年以来该类型漏洞在eBPF检查器的总漏洞中占比超过60%);即使在吞吐量较高的网络包处理场景下,轻量化内核沙箱带来的性能开销低于3%. 展开更多

关键词 ebpf PKS 内存隔离 操作系统内核

在线阅读 下载PDF 职称材料

基于eBPF的内核堆漏洞动态缓解机制 被引量：1

10

作者 王子成 郭迎港 +2 位作者 钟炳南 陈越琦 曾庆凯 《软件学报》 EI CSCD 北大核心 2024年第7期3332-3354,共23页

内核堆漏洞是目前操作系统安全的主要威胁之一,用户层攻击者通过触发漏洞能够泄露或修改内核敏感信息,破坏内核控制流,甚至获取root权限.但是由于漏洞的数量和复杂性剧增,从漏洞首次被报告到开发者给出修复补丁(patch)往往需要较长时间... 内核堆漏洞是目前操作系统安全的主要威胁之一,用户层攻击者通过触发漏洞能够泄露或修改内核敏感信息,破坏内核控制流,甚至获取root权限.但是由于漏洞的数量和复杂性剧增,从漏洞首次被报告到开发者给出修复补丁(patch)往往需要较长时间,而内核现阶段采用的缓解机制均能被稳定绕过.为此提出一种基于eBPF的内核堆漏洞动态缓解框架,用于在修复时间窗口中降低内核安全风险.动态缓解框架采取数据对象空间随机化策略,在每次分配时为漏洞报告中涉及的数据对象分配随机地址,并充分利用eBPF的动态、安全特性将空间随机化对象在运行时注入内核,使得攻击者无法准确放置攻击负载,堆漏洞几乎无法被利用.评估40个真实内核堆漏洞,并收集12个绕过现有缓解机制的攻击程序进行进一步分析和实验,证实动态缓解框架提供充足的安全性.性能测试表明,即使在严苛情况下,大量分配的4类数据对象仅对系统造成约1%的性能损耗和可以忽略不计的内存损耗,同时增加保护对象的数量几乎不引入额外性能损耗.所提机制对比相关工作适用范围更广,安全性更强,而且无需安全专家发布的漏洞补丁,可以根据漏洞报告生成缓解程序,具备广阔应用前景. 展开更多

关键词 系统安全 漏洞缓解 ebpf

在线阅读 下载PDF 职称材料

基于eBPF和ConvLSTM的5G-R网络安全审计系统研究 被引量：5

11

作者 陈律 李辉 刘畅 《铁道标准设计》 北大核心 2024年第4期203-210,共8页

在铁路5G专网快速发展的背景下,铁路网络信息安全关系到铁路运行安全等方面。但当前成熟的铁路网络安全设备多是针对可能存在的非法入侵、外网干预等外部安全隐患,对于内部使用不当或通信异常带来的安全问题,还未有系统性的检测方法。因... 在铁路5G专网快速发展的背景下,铁路网络信息安全关系到铁路运行安全等方面。但当前成熟的铁路网络安全设备多是针对可能存在的非法入侵、外网干预等外部安全隐患,对于内部使用不当或通信异常带来的安全问题,还未有系统性的检测方法。因此,提出一种可同时进行网络内外异常检测、集流量抓取和数据分析为一体的实时性较强的网络安全审计系统成为迫切需要。设计从网络安全审计的三大关键技术出发,分别对应本系统的数据采集、数据解析、流量识别三个模块,并说明系统在网络中部署的环境与位置。具体运用了eBPF技术抓取网络流量数据包,利用深度学习的数据预处理方法提取其中特征信息,并导入已训练好的ConvLSTM模型中进行预测,最终判断是否出现异常流量。通过两个数据集的实验验证并与传统算法进行对比,此网络安全审计系统针对外部攻击流量的预测准确率可以达到0.97,针对内部通信异常预测准确率为0.96,实现了对外部或内部因素导致的网络流量异常问题的监测与排查,以便快速反应采取进一步措施。针对5G-R场景进行的网络安全审计系统设计和研究可以为未来铁路面临的网络安全挑战提供技术支撑和帮助。 展开更多

关键词 铁路通信 5G-R 网络安全审计 ebpf 深度学习 ConvLSTM

在线阅读 下载PDF 职称材料

Container Instrumentation and Enforcement System for Runtime Security of Kubernetes Platform with eBPF 被引量：2

12

作者 Songi Gwak Thien-Phuc Doan Souhwan Jung 《Intelligent Automation & Soft Computing》 SCIE 2023年第8期1773-1786,共14页

Containerization is a fundamental component of modern cloud-native infrastructure,and Kubernetes is a prominent platform of container orchestration systems.However,containerization raises significant security concerns... Containerization is a fundamental component of modern cloud-native infrastructure,and Kubernetes is a prominent platform of container orchestration systems.However,containerization raises significant security concerns due to the nature of sharing a kernel among multiple containers,which can lead to container breakout or privilege escalation.Kubernetes cannot avoid it as well.While various tools,such as container image scanning and configuration checking,can mitigate container workload vulnerabilities,these are not foolproof and cannot guarantee perfect isolation or prevent every active threat in runtime.As such,a policy enforcement solution is required to tackle the problem,and existing solutions based on LSM(Linux Security Module)frameworks may not be adequate for some situations.To address this,we propose an enforcement system based on BPF-LSM,which leverages eBPF(extended Berkeley Packet Filter)technology to provide fine-grained control and dynamic adoption of security policies.In this paper,we compare different LSM implementations to highlight the challenges of current enforcement solutions before detailing the design of our eBPF-based Kubernetes Runtime Instrumentation and Enforcement System(KRSIE).Finally,we evaluate the effectiveness of our system using a real-world scenario,as measuring the performance of a policy enforcement system is a complex task.Our results show that KRSIE can successfully control containers’behaviors using LSM hooks at container runtime,offering improved container security for cloud-native infrastructure. 展开更多

关键词 CONTAINER kubernetes runtime security ebpf ENFORCEMENT

在线阅读 下载PDF 职称材料

基于DPDK的eBPF报文过滤器研究与实现

13

作者 王余雷 程鹏 +1 位作者 娄方亮 谢海峰 《价值工程》 2020年第34期200-202,共3页

为了更好地应对大流量复杂场景的精准报文过滤,本文研究了eBPF报文过滤器的架构、原理等,并且基于DPDK的eBPF报文过滤器实现了灵活的抓包功能,已在通讯系统中得到广泛的应用。

关键词 DPDK ebpf 过滤器

在线阅读 下载PDF 职称材料

eBPF技术在操作系统动态跟踪中的应用研究 被引量：6

14

作者 刘伟 廖平 《中国金融电脑》 2022年第8期81-84,共4页

伴随互联网技术的深入普及,操作系统变得日趋复杂,如何在其出现疑难问题时实现快速定位,已成为当前运维领域一个重要的研究方向。传统模式下,操作系统跟踪技术通常需要重新编译系统内核,不仅会给系统性能带来负面影响,甚至还可能导致系... 伴随互联网技术的深入普及,操作系统变得日趋复杂,如何在其出现疑难问题时实现快速定位,已成为当前运维领域一个重要的研究方向。传统模式下,操作系统跟踪技术通常需要重新编译系统内核,不仅会给系统性能带来负面影响,甚至还可能导致系统崩溃。针对上述挑战,动态跟踪技术通过在系统运行时进行动态插桩,能够精准定位操作系统的故障点,并尽可能减少对系统性能的影响。 展开更多

关键词 操作系统 动态跟踪 ebpf技术

在线阅读 下载PDF 职称材料

基于eBPF的虚拟化网络与云原生网络应用 被引量：2

15

作者 施苏峰 《网络安全与数据治理》 2023年第2期9-18,共10页

近年来,随着eBPF的内核代码安全注入机制的发展,eBPF已经在网络优化、性能监控等方面获得大量应用。介绍了eBPF在网络功能虚拟化领域的应用概述,以及其基于容器架构发展而来的云原生网络功能领域的应用概述,并举出了eBPF用于上述领域的... 近年来,随着eBPF的内核代码安全注入机制的发展,eBPF已经在网络优化、性能监控等方面获得大量应用。介绍了eBPF在网络功能虚拟化领域的应用概述,以及其基于容器架构发展而来的云原生网络功能领域的应用概述,并举出了eBPF用于上述领域的典型应用:网络功能虚拟化领域的负载均衡、快速丢包、限流应用,以及云原生网络功能领域的Kubernetes容器网络加速、服务网格加速应用。 展开更多

关键词 ebpf 网络功能虚拟化 云原生 负载均衡 Kubernetes 服务网格

在线阅读 下载PDF 职称材料

基于操作系统eBPF在云原生环境下的技术研究 被引量：2

16

作者 高巍 《电子技术与软件工程》 2022年第17期70-74,共5页

本文基于eBPF技术提供的跟踪和分析、可观测性和监控、服务网格、企业安全等关键技术,与大数据、人工智能、分布式治理技术一起极大地提升了云原生环境下的性能优化和自动化运维,为操作系统内核与云原生环境之间架起技术纽带。

关键词 LINUX内核 ebpf 云原生 可观测性 微服务 服务网格

在线阅读 下载PDF 职称材料

基于eBPF的云环境下payload进程检测方法

17

作者 王圣凯 阮树骅 汪邓喆 《计算机应用研究》 CSCD 北大核心 2023年第7期2157-2161,共5页

针对目前云环境下攻击载荷(payload)所体现出的新特征以及目前检测方法性能损耗较高的问题,提出了一种利用eBPF技术在内核态检测反向连接类payload进程从而定位被入侵容器的方法。该方法在内核态对服务端TCP连接进行监控,通过筛选TCP标... 针对目前云环境下攻击载荷(payload)所体现出的新特征以及目前检测方法性能损耗较高的问题,提出了一种利用eBPF技术在内核态检测反向连接类payload进程从而定位被入侵容器的方法。该方法在内核态对服务端TCP连接进行监控,通过筛选TCP标志位定位疑似反向连接类payload进程所在容器,并对该容器进程组后续访问文件行为进行追踪以控制损害。实验证明,该方法可以有效检测出并定位被入侵容器,且其性能消耗极低,多线程性能Unixbench分数损耗仅为0.53%。 展开更多

关键词 ebpf sock连接分析 payload检测 异常容器定位 访问文件监控

在线阅读 下载PDF 职称材料

基于eBPF的应用程序性能监控研究 被引量：1

18

作者 赵晨雨 《IT经理世界》 2020年第10期123-123,共1页

近年来随着互联网的发展,应用程序的架构变得越来越复杂,许多开发人员也开始关注应用程序的性能问题,而应用程序的性能问题往往反映在整体系统的性能状态上,所以要在多个维度分析应用程序的性能[1].最近几年eBPF技术在Linux内核中取得... 近年来随着互联网的发展,应用程序的架构变得越来越复杂,许多开发人员也开始关注应用程序的性能问题,而应用程序的性能问题往往反映在整体系统的性能状态上,所以要在多个维度分析应用程序的性能[1].最近几年eBPF技术在Linux内核中取得了较大的发展,这大大提高了Linux内核的可观测性,也为应用程序的性能数据提取提供了新的思路.本文首先介绍eBPF [2]技术,提出了基于eBPF的应用程序性能监控方案,从而为运维人员分析应用程序性能提供新的思路. 展开更多

关键词 LINUX 应用程序 性能 ebpf

原文传递

基于eBPF的云上威胁观测系统

19

作者 刘斯诺 阮树骅 +1 位作者 陈兴蜀 郑涛 《信息网络安全》 CSCD 北大核心 2024年第4期534-544,共11页

随着云上威胁的种类和攻击路径更加多样化,单一维度的威胁数据难以准确刻画复杂多变的威胁行为。文章提出一种基于扩展伯克利数据包过滤器(extended Berkeley Packet Filter,eBPF)的威胁观测系统ETOS(eBPF-Based Threat Observability S... 随着云上威胁的种类和攻击路径更加多样化,单一维度的威胁数据难以准确刻画复杂多变的威胁行为。文章提出一种基于扩展伯克利数据包过滤器(extended Berkeley Packet Filter,eBPF)的威胁观测系统ETOS(eBPF-Based Threat Observability System),首先,通过评估威胁行为中各动作的危险程度,对关键动作分层分类设置观测点位,从而在目标机器上实现按需动态激活eBPF探针,获取多维结构化威胁行为数据,能够有效表达云环境中的威胁行为,降低数据分析的预处理成本;然后,设计一种通用eBPF探针模板,实现探针库的自动化扩展;最后,文章在容器云平台上复现了18个容器逃逸通用漏洞披露(Common Vulnerabilities and Exposures,CVE),并利用ETOS观测威胁行为。实验结果表明,ETOS能够在多个层次观测威胁行为,输出多维结构化威胁数据,引入系统和网络的总体开销均低于2%,满足云平台运行要求。 展开更多

关键词 威胁观测 ebpf可观测性 云计算安全 数据采集

在线阅读 下载PDF 职称材料

基于eBPF的配置库应用拓扑自动发现功能的实现

20

作者 李强 李光兆 《互联网周刊》 2024年第4期46-48,共3页

在运维数字化转型、智能化发展的时代背景下,配置管理库是数字化运维必不可少的核心工具,其中应用拓扑是配置管理库的一个重要功能,也是配置管理数据的一个重要消费场景。与传统手工绘制的应用拓扑不同,配置管理库中的应用拓扑是依托于... 在运维数字化转型、智能化发展的时代背景下,配置管理库是数字化运维必不可少的核心工具,其中应用拓扑是配置管理库的一个重要功能,也是配置管理数据的一个重要消费场景。与传统手工绘制的应用拓扑不同,配置管理库中的应用拓扑是依托于配置数据的动态拓扑图,但其仍依赖配置数据的准确性和更新的实时性。eBPF技术以在操作系统中进行动态插装的方式,通过采集IP和端口间的访问关系,实时跟踪获取每个节点的信息,从而自动获取应用之间的调用关系,建立应用拓扑的二、三层关系,减少配置库的维护成本,增加应用拓扑的准确性和实时性。 展开更多

关键词 配置管理库 应用拓扑 动态跟踪 ebpf技术

在线阅读 下载PDF 职称材料